Secure Software

Development
Lifecycle

für

Webanwendungen
Hintergrund
Der Sicherer SDLC

OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC.

Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu
unterstützen.

In diesem Vortrag geht es darum, ein Überblick über die wichtigste

Aspekte des sicheren SDLCs zu gewinnen

Es wird hier das Model „OpenSAMM“ (Software Assurance Maturity

Model) als Beispiel verwendet.

Copyright OPTIMAbit GmbH, 2011

Komplexität erzeugt Unsicherheit

Je komplexer eine Anwendung , desto

schwieriger die Absicherung.

Verglichen mit Anwendungen, sind

Netzwerke relativ einfach.

Schwachstellen entstehen aus Fehlern in:

– Design / Architektur

– Implementierung

– Deployment & Konfiguration

– Laufzeitumgebung

Copyright OPTIMAbit GmbH, 2011

Strategische Lösung: Sicherer SDLC
Überblick sicherer Software Development Lifecycle (SDLC)

Das Open Software Assurance Maturity Model (SAMM) definiert strategische

Maßnahmen für sichere Software. Ein OWASP Projekt

Andere Modelle existieren auch, z.B. Microsoft, BSI-MM.

Copyright OPTIMAbit GmbH, 2011

Wichtige Teile eines Secure SDLC
Diese Aktivitäten sichern eine Basislinie für sichere Webapps

Governance Construction Verification Deployment

Appsec Sicherheits-
Pentest Hardening
Standard anforderungen

Sichere Vulnerability
Ausbildung Code Review
Frameworks Mgmt

Copyright OPTIMAbit GmbH, 2011

Anwendungssicherheit Standard
Vorgaben für sicheres Design und Architektur

Application Security Standards:

definieren Standards für sichere
Policies
Anwendungen auf hohem
Abstraktionsniveau

unterstützen technische Mitarbeiter, Standards
Architekten und Projektleiter (Inhouse und
Outsourcing)

sind hochstrukturiert --- keine Richtlinien
desorganisierte Listen von „Best Practices“

Copyright OPTIMAbit GmbH, 2011

Anwendungssicherheit Standard (Inhalt)
Beispielinhalt und Umfang

Standards für: Eingabevalidierung

Fehlerbehandling

Allgemeine Anwendungen
Session Management

Webanwendungen
HTML & HTTP

Webservices
Zugriff auf
Datenbanken

SAP
Uvm…

Copyright OPTIMAbit GmbH, 2011

Code Review
Ihr Code wird auf Qualität und Sicherheit geprüft

Code Reviews sorgen für sichere

Code
Anwendungen und erhöhte Code-
Entwicklung
Qualität. Developers

Es ist sinnvoll, entweder ein

Expertenteam auszubilden oder Tickets & Review &
Feedback
externe Unterstützung zu holen. Analyse

Plus: schnell und wiederholbar

Update, Filter,
Management Analyse
Minus: False Positives, False Negatives
Tool
OPTIMA
Review Team

Copyright OPTIMAbit GmbH, 2011

Penetrationstest einer Webanwendung
Qualität ist entscheidend --- Gute Tests brauchen auch Zeit

Ein hochwertiger Pentest:

ist strukturiert nach OWASP
Standards und BSI Kriterien.
Kickoff Testing Analyse Reporting

erkennt aktuelle Schwachstellen.

baut primär auf manueller
Expertentest (Tools auch wichtig)

ausführlich dokumentiert mit
nachvollziehbare
Risikobewertungen.

Copyright OPTIMAbit GmbH, 2011

Ausblick & Empfehlungen

Ist-Aufnahme über den SDLC

Wo steht man und was ist zu tun? Operational
Strategy & Metrics
1 Policy &
Enablement 0,8 Compliance

Maßnahmen daraus ableiten Environment

Hardening
0,6 Education &
Guidance
0,4
0,2

Pentest und Code Review auf Vulnerability
Management
0 Threat Assessment

regulärer Basis setzen

Security
Security Testing
Requirements

Security Standards für Anwendungen Code Review
Secure
Architecture
definieren Design Review

Copyright OPTIMAbit GmbH, 2011

Zielsetzung (Jahresplan)
Binnen 1 Jahr den Basisschutz erreichen 1

0,8

Eine ausgewogene Verteilung 0,6
der Sicherheit ist wichtig 0,4

0,2

2011: Basisschutz soll erreicht
0
werden

2012: fortgeschrittener Schutz

soll erreicht werden

Aktueller Stand
Basisschutz (2011)
Fortg. Schutz (2012)

Copyright OPTIMAbit GmbH, 2011

Vielen Dank

für Ihre Aufmerksamkeit

 Über

OPTIMbit
GmbH

Fokus Kunden Credo

IT-Sicherheit für Unternehmen Herstellerneutrale

Anwendungen ab ca. 500 Beratung von
& Mitarbeitern höchster Qualität
Infrastrukturen
Ein komplettes Angebot

Secure Software Lifecycle • Pentest, Code Quality, Policies

Zertifizierung & Compliance • ISO 2700X, PCI-DSS

Enterprise Systeme • IBM, Oracle, SAP

Lösungen • WAF, SSO, IdM, SmartCard

Seminare & Awareness • Anwender, Entwickler, Manager

Copyright OPTIMAbit GmbH, 2011

Kontakt

OPTIMAbit GmbH
Dr. Bruce Sams
Marktplatz 2
85375 Neufahrn

Tel.: +49 8165/65095

Fax +49 8165/65096

bruce.sams@optimabit.com
www.optimabit.com

Copyright OPTIMAbit GmbH, 2011